Dutch_OnE 39 Geschrieben 6. August 2021 Melden Teilen Geschrieben 6. August 2021 Moin, Ich habe die Default SMB 445 Regel mit Zulassen aktiviert und eine zweite Deny Regel gemacht wo ein paar Adressen geblockt werden. Gibt es eine Möglichkeit, dass ich pauschal alle IP-Adressen blocke und nur eine Adresse erlaube? Benötigen tue ich genau eine einzige IP im lokalen Netzwerk. Der Rest kann geblockt werden. gruß do Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 6. August 2021 Melden Teilen Geschrieben 6. August 2021 Die Windows Firewall wertet die Regeln leider nicht wie andere Paketfilter aus (erster Treffer), sondern wie NTFS (Verweigern kommt vor Erlauben). Ausnahme ist nur die Standard-Regel. Du musst also die Standard-Regel auf Verweigern setzen, die allgemeine SMB-Regel deaktivieren und für die eine IP-Adresse eine Erlauben-Regel erstellen. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 6. August 2021 Melden Teilen Geschrieben 6. August 2021 (bearbeitet) Naja, wenn Du Outgoing standardmässig blockieren aktivierst, dann kannst ja einfach die gewünschten IP's freigeben und das Thema ist erledigt. Eventuell noch mit Authentifizierung auf Netzwerkebene. Ist einfach eine etwas andere herangehensweise aber nicht per se schlechter, nur ungewohnt. EDIT: Die Standardregeln für die Freigabe von 445 natürlich erst noch deaktivieren oder eben abändern. EDIT2: Ich denke mwiederkehr meinte das gleiche mit der Standardregel. Wenn ich das richtig im Kopf habe, ist für SMB keine Systemregel hinterlegt, sollte also nicht über die Hintertür dennoch freigegeben werden. bearbeitet 6. August 2021 von Weingeist Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 6. August 2021 Autor Melden Teilen Geschrieben 6. August 2021 Mal angenommen, dass soll mit wenig Aufwand umgesetzt werden. Die Default SMB Outgoing schalte ich aus. Dann mache ich eine manuelle SMB Regel, die ich auf verweigern setze. Dann mache ich eine zweite SMB Regel, in der ich die eine Adresse erlaube. War das so richtig verstanden? Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 6. August 2021 Melden Teilen Geschrieben 6. August 2021 (bearbeitet) Nope, Du musst in den Einstellungen der Windows Firewall selbst Outgoing standardmässig blockieren und dann das mit einer Regel freigeben was Du möchtest. Sprich es ist dann einfach alles blockiert und nur das frei was Du frei haben möchtest. Ich finde das eigentlich ziemlich gut wenn man sich daran gewöhnt hat. Klar hat auch Schattenseiten, aber das haben alle Varianten ;) bearbeitet 6. August 2021 von Weingeist Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 6. August 2021 Autor Melden Teilen Geschrieben 6. August 2021 Ich meine das ich das probiert hatte, aber ich teste dann nochmal. Also default Outgoing 445 für alles blockieren und eine weitere Regel mit einer IP erlauben. Es geht darum, dass auf ein NAS gesichert werden soll. bzw. eine USB Platte die an dem NAS hängt und über SMB angesprochen wird. Zitieren Link zu diesem Kommentar
Beste Lösung Weingeist 159 Geschrieben 6. August 2021 Beste Lösung Melden Teilen Geschrieben 6. August 2021 (bearbeitet) Nope, Du bist echt auf dem falschen Dampfer. Das ist eben genau das was nicht funktioniert ;) Du musst In der Hauptebene der erweiterten Windows Firewall mit rechter Maustaste rein und in allen Profilen standardmässig Verkehr nach aussen blockieren. Das heisst dann auch, dass Du für alles was eben durch soll, eine Freigaberegel erstellen musst. Und da MS es seit Jahren verpasst hat, da alles reinzuschieben was reingehört, ist das mitunter ziemlich nervig wenn man nicht mit Pauschalfreigaben hantieren möchte. (Edit: Wird aber immer besser mit fast jedem neuen W10 Build ;) ) Was dann geblockt wird, erfährst Du wenn du das Auditing der Windowsfirewall aktivierst. Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enableDeutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable Sprachübergreifend: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable https://docs.microsoft.com/de-de/windows/win32/fwp/auditing-and-logging?redirectedfrom=MSDN Ich setze jeweils noch die Loggrösse für Sicherheit rauf. Mit - tasklist /svc - netstat -a -b Kann herausgefunden werden welcher Prozess es betrifft auditpol.exe /list /category /v = GUID erhalten bearbeitet 6. August 2021 von Weingeist 1 Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 6. August 2021 Autor Melden Teilen Geschrieben 6. August 2021 Alles klar, dann vielen Dank für die Info. Ich teste das gleich mal. Ok, das wird mir dann doch zu umständlich, aber trotzdem danke. Ok, das wird mir dann doch zu umständlich, aber trotzdem danke. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 6. August 2021 Melden Teilen Geschrieben 6. August 2021 (bearbeitet) Umständlich ist das nicht, im Gegenteil. Reine Gewohnheitssache. Aktiviert man das Block-Out nicht, kann man den Rest auch gleich bleiben lassen (etwas grob gesagt). Die Filter-Engine von Windows ist wirklich top und wirkungsvoll, es läuft erstmal alles über sie. Meines erachtens sollte man sich mit Ihr beschäftigen und die fehlenden Regeln die es innerhalb einer Domäne braucht selber erstellen. bearbeitet 6. August 2021 von Weingeist Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.